L’invalidation du Privacy Shield : un avertissement pour les géants du Web

Publié par le dans , , | Consulté 247 Fois

Par un arrêt du 16 juillet 2020, la CJUE a invalidé le Privacy Shield, l’accord qui réglementait les transferts de données entre l’Union Européenne et les États-Unis. La Commission Européenne s’en portait garante, le reconnaissant comme offrant un niveau de protection adéquat des données à caractère personnel ; les transferts de données de l’UE vers les entreprises américaines certifiées sous le Privacy Shield étaient alors réputés conforme aux exigences de l’article 45 du RGPD.

Cette décision d’adéquation n’a cependant pas fait long feu. En effet, sous saisine de l’activiste autrichien pour la protection des données privées Maximilian Schrems, la CJUE réfute la conformité du Privacy Shield au RGPD aux motifs qu’il ne garantit pas un niveau de protection des données suffisant ; en outre, il a été mis en évidence que la législation américaine autorisait les traitements massifs de données, et ce de façon non-ciblée et généralisée, violant ainsi le principe de proportionnalité du RGPD. Par ailleurs, il a également été rapporté que les titulaires européens de données personnelles transférées aux États-Unis ne bénéficiaient pas des mêmes garanties que les ressortissants américains.

 

Serait-ce la fin des activités des GAFAM sur le Vieux Continent ?

Non ; cela dit, les acteurs américains du numérique s’inquiètent, et ce à raison. Certes, la CJUE précise que cela ne signifie pas pour autant l’arrêt total des transferts transatlantiques de données, considérant que d’autres mécanismes tels que les clauses contractuelles types sont encore valides à la condition d’offrir des garanties substantiellement similaires à celles du RGPD pour les titulaires des données exportées. Il incombe toutefois d’une part de s’engager individuellement et d’autre part de redoubler de rigueur dans la négociation des clauses. Le Privacy Shield offrait un cadre transactionnel rassurant et rapide : en somme, en tant qu’opérateur européen, il serait plutôt judicieux de privilégier des partenaires strictement européens qui sont déjà soumis au RGPD. Outre les clauses contractuelles, la décision de la CJUE ne laisse pas une grande marge de manœuvre, d’autant plus qu’elle est d’effet immédiat, laissant ainsi une incertitude juridique planer.

 

Un strict rappel à l’ordre pour Facebook

L’autorité de protection des données irlandaise n’a pas tardé à tirer des conséquences pratiques de la décision « Schrems II ». C’est à cette occasion qu’à la fin de l’été 2020, la CNIL irlandaise a émis une ordonnance préliminaire intimant Facebook de cesser les flux de données transatlantiques sur la base de ladite décision (le quartier général des activités européennes de Facebook étant localisé à Dublin).

« Il n’est pas clair pour Facebook comment, dans de telles circonstances, il serait possible de continuer à fournir les services Facebook et Instagram en Union Européenne », Yvonne Cunnane, responsable de la protection des données et avocate générale de Facebook.

Au-delà de Facebook, ce sont d’abord les services d’Instagram qui sont concernés par la décision, mais on peut très bien imaginer que d’autres entreprises, notamment les GAFAM, soient les prochaines cibles des autorités de contrôle, d’autant plus que d’autres géants du net tels que Google ou Twitter ont également leur quartier général européen basé en Irlande. Le fonds de commerce de tels services reposant sur le transfert et la commercialisation des données des utilisateurs, des inquiétudes se font ressentir.

 

Doit-on se préparer au retrait de Facebook et Instagram de l’Europe ?

Facebook n’a pas pour autant prononcé officiellement la cessation de ses activités en Europe : en effet, l’UE surpasse les États-Unis en nombre d’habitants et le territoire représente un terrain très prospère pour la société : le potentiel économique et l’enjeu financier sont trop importants. Le réseau social tient toutefois à souligner l’impossibilité technique de se soustraire à la décision et exige que sa portée pratique soit éclaircie.

« Facebook ne menace pas de se retirer de l’Europe. Des documents juridiques déposés auprès de la Haute Cour irlandaise exposent simplement le fait que Facebook, et de nombreux autres services, entreprises, et organisations dépendent des transferts de données entre l’Union européenne et les États-Unis pour faire fonctionner leurs services » exprime un porte-parole du réseau social.

L’affaire est portée devant la Haute Cour de justice d’Irlande, qui devrait statuer d’ici novembre prochain.

Sources :